Vanguard Security & Compliance (VSC) 2022 参加手記より (Part II)

カンファレンスのイメージ

Vanguard Security & Compliance (VSC) 2022は、民間企業と政府機関の両方からグローバルなサイバーセキュリティリーダーを集めて、IBM zSystemsを保護と防御するための、最も完全な知識ベースのトレーニングを提供します。昨年に続きブロードからの参加者の手記を通して二回に分けて情報共有させていただく二回目です。(一回目はこちら

Stop Relying on the Failed Human Firewall (Mr. Ira Winkler氏)

ユーザーに関する問題は、一般には善意のユーザーを騙そうとする悪意を持つ行為者によるものというのが主に認識されていることですが、問題の認識不足、無関心、不注意といった要因も損失の原因になる可能性を高めます。

サイバーセキュリティ業界もこれを認識しており、問題を軽減するために、認識、多要素認証、情報漏洩対策などの戦術を開発しています。しかし、これらの戦術にもかかわらず、すべての損失の90%以上はユーザーを標的とした攻撃に起因しています。このプレゼンテーションは、インサイダーの脅威に対処するための包括的な戦略についてであり、それが悪意のあるインサイダーか、善意のインサイダーに起因するかは無関係です。

登壇者は、元NSA(アメリカ国家安全保障局)局員で、エンドユーザーに起因するサイバー侵害と企業への損害が拡大するなかで「社員が間違いを起こさないように啓蒙教育を=ITリテラシーを向上すべき」との一般論があるが、これ自体は間違いではないが「人間は間違いをし、かつ予測しないような行動を起こす。また外部以上に内部の悪意行動が多い。そのような状況にならぬように問題を未然に防ぐ環境を整えるべき」と唱えています。

例えば、もともとマルウェアが添付されたメールが社内のメールシステムの受信箱に入ることがいけないのでこれを防ぐ、あるいは、万が一データが侵害された際(たった一回のユーザのクリックで重要データが乗っ取られた場合)そのデータが「唯一」ではないように、企業のデータ・レジリエンスを強化する」などです。データを認識した上での業務改革や、人手をできるだけ介さない自動ライフサイクル管理などが、対サイバー攻撃への重要な提案とのことです。

HUMAN SECURITY ENGINEERING MODEL PHISHING PREVENTION

フィッシング対策のためのヒューマン・セキュリティ・エンジニアリングのモデル

その他のセッション:Don’t Fear the Shadow! (影を恐れるな!)

シャドーIT は、「公式」なシステムよりも効率的に作業機能を達成することを目的にユーザーがITシステムを作成する現象を説明する用語です。最近までは、シャドーITは悪しきものとして扱われ、ビジネスプロセスの信頼性を低下させながら、セキュリティとコンプライアンスのリスクを作り出してきました。しかし最近の調査では、シャドーITのもう1 つの側面が示されています。管理者にとっての問題は、リスクを認識せずにシャドーITから潜在的な価値を引き出す方法にあります。このディスカッションでは、経験豊富なセキュリティプロフェッショナルとシャドーIT研究者が主導し、シャドーIT の利点とリスクを探りました。

キーノートスピーチをしたMr. Andrew Neal氏

シャドーITには、業務の達成、ビジネスプロセスの革新、代替ツールの認識、ガバナンスレビューの促進や機会の増加などの良い点もあります。斬新なアイデアを持つユーザーのサポートや、目に見えるデジタル変革プロセス、懲罰的でないシャドーIT のユーザー対応や、シャドーITの認識と採用など、革新的なガバナンスを積極的に探究する必要があります。シャドーITを無視することは最悪のアプローチです。シャドーITは必ずしも悪いことではありません。イノベーションは、インフォーマルな仕事のアプローチから始まるかもしれません。ビジネス主導のITはシャドーIT によく似ています。ガバナンスは、原因にも治療にもなり得ます。

シャドーITとは、企業が使用許可をしていない、あるいは従業員が利用していることを企業側が把握できていないデバイスや外部サービスのことを指します。つまり、管理対象外のデバイスやサービスのことで、業務に使用するデバイスやサービスは、基本的にシステム管理者の管理下に置かなければなりません。なぜなら、シャドーITが企業全体のセキュリティ面に重大な影響を及ぼす可能性があるからです。

シャドーITとBYODの違い
シャドーITについて調べると、「BYOD」という用語がでてきます。シャドーITとBYOD(Bring Your Own Device)の違いは、業務で使用する個人のデバイスやサービスについて、企業が承認しているか否かです。簡単にまとめると以下のようになります。
・シャドーIT:企業が承認していないデバイスやサービス
・BYOD:企業が承認している個人のデバイスやサービス
シャドーITをなくすには、BYODを意識して管理しなければならないということです。

Vanguardについてくわしくはこちら

シェアする

  • このエントリーをはてなブックマークに追加

フォローする